KR20070051233A - System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system - Google Patents

System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system Download PDF

Info

Publication number
KR20070051233A
KR20070051233A KR1020050108811A KR20050108811A KR20070051233A KR 20070051233 A KR20070051233 A KR 20070051233A KR 1020050108811 A KR1020050108811 A KR 1020050108811A KR 20050108811 A KR20050108811 A KR 20050108811A KR 20070051233 A KR20070051233 A KR 20070051233A
Authority
KR
South Korea
Prior art keywords
msk
aaa
eap
authentication
base station
Prior art date
Application number
KR1020050108811A
Other languages
Korean (ko)
Inventor
이지철
예긴 알퍼
송준혁
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050108811A priority Critical patent/KR20070051233A/en
Priority to US11/503,011 priority patent/US20070112967A1/en
Publication of KR20070051233A publication Critical patent/KR20070051233A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

본 발명은 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서, 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하고; 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하고; 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고; 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성한다.The present invention includes a mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (D-A) server, and a dual scalable authentication protocol. In a broadband wireless access communication system using an Extensible Authentication Protocol (EAP) method, the AAA-U server may generate a user master session key (MSK) generated by performing user reauthentication with respect to the mobile terminal according to the EAP method. Key) (MSK_U) to the AAA-D server; The AAA-D server generates a new MSK_U, MSK_U1, using the MSK_U and the device MSK (MSK_D) generated during the initial authentication of the mobile terminal, and then transmits the MSK_U1 to the base station; The base station generates a Pairwise Master Key (PMK) using the MSK_U1; The mobile terminal and the base station generate an authorization key (AK) using the PMK.

EAP-in-EAP, MSK_U, MSK_D, MSK_U1, PMK, AK, KDF EAP-in-EAP, MSK_U, MSK_D, MSK_U1, PMK, AK, KDF

Description

이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증 시스템 및 방법{SYSTEM AND METHOD FOR RE-AUTHENTICATING USING TWICE EXTENSIBLE AUTHENTICATION PROTOCOL SCHEME IN A BROADBAND WIRELESS ACCESS COMMUNICATION SYSTEM}SYSTEM AND METHOD FOR RE-AUTHENTICATING USING TWICE EXTENSIBLE AUTHENTICATION PROTOCOL SCHEME IN A BROADBAND WIRELESS ACCESS COMMUNICATION SYSTEM}

도 1은 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조를 개략적으로 도시한 도면1 is a diagram schematically illustrating an internal structure of an IEEE 802.16e communication system using a general EAP-in-EAP scheme.

도 2는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도2 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using a general EAP-in-EAP scheme.

도 3은 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도3 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using an EAP-in-EAP scheme according to an embodiment of the present invention.

본 발명은 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭 하기로 한다) 통신 시스템의 재인증 시스템 및 방법에 관한 것으로서, 특히 재인증시 단일 EAP 인증만을 통해 기기 인증과 사용자 인증을 수행하는 시스템 및 방법에 관한 것이다. The present invention is a broadband wireless access (BWA: Broadband Wireless Access, using a Extensible Authentication Protocol (EAP) (hereinafter referred to as "EAP") (hereinafter referred to as "twice EAP") The present invention relates to a re-authentication system and method for a communication system, and more particularly, to a system and a method for performing device authentication and user authentication through a single EAP authentication during re-authentication.

차세대 통신 시스템인 4세대(4G: 4th Generation, 이하 '4G'라 칭하기로 한다) 통신 시스템에서는 고속의 다양한 서비스 품질(Quality of Service: 이하 'QoS' 칭하기로 한다)을 가지는 서비스들을 사용자들에게 제공하기 위한 활발한 연구가 진행되고 있다. 특히, 현재 4G 통신 시스템에서는 무선 근거리 통신 네트워크(LAN: Local Area Network, 이하 'LAN'이라 칭하기로 한다) 시스템 및 무선 도시 지역 네트워크(MAN: Metropolitan Area Network, 이하 'MAN'이라 칭하기로 한다) 시스템과 같은 광대역 무선 접속 통신 시스템에 이동성(mobility)과 서비스 품질(QoS: Quality of Service)을 보장하는 형태로 고속 서비스를 지원하도록 하는 연구가 활발하게 진행되고 있으며, 그 대표적인 통신 시스템이 IEEE(Institute of Electrical and Electronics Engineers) 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템이다. The next generation communication system, the 4th generation (hereinafter referred to as 4G) communication system, provides users with services having various speeds of quality of service (hereinafter referred to as 'QoS') to users. There is active research going on. In particular, in the current 4G communication system, a wireless local area network (LAN) system and a wireless metropolitan area network (MAN) system are called. Researches are being actively conducted to support high-speed services in a form of guaranteeing mobility and quality of service (QoS) in a broadband wireless access communication system, such as the IEEE. Electrical and Electronics Engineers) 802.16a / d communication system and IEEE 802.16e communication system.

상기 IEEE 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템은 상기 무선 MAN 시스템의 물리 채널(physical channel)에 광대역(broadband) 전송 네트워크를 지원하기 위해 직교 주파수 분할 다중(OFDM: Orthogonal Frequency Division Multiplexing, 이하 'OFDM'이라 칭하기로 한다)/직교 주파수 분할 다중 접속(OFDMA: Orthogonal Frequency Division Multiple Access, 이하 'OFDMA'이라 칭하기로 한다) 방식을 적용한 통신 시스템이다.The IEEE 802.16a / d communication system and the IEEE 802.16e communication system are orthogonal frequency division multiplexing (OFDM) for supporting a broadband transmission network on a physical channel of the wireless MAN system. A communication system employing a " OFDM " / orthogonal frequency division multiple access (OFDMA) scheme.

그러면 여기서 도 1을 참조하여 twice EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 구조에 대해서 설명하기로 한다. 이하, 설명의 편의상 상기 twice EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(operation mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다. Next, a structure of an IEEE 802.16e communication system using a twice EAP scheme will be described with reference to FIG. 1. Hereinafter, for convenience of description, the twice EAP method will be referred to as an 'EAP-in-EAP method', and an operation mode using the EAP-in-EAP method will be referred to as an 'EAP-in-EAP mode'. Shall be.

상기 도 1은 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조를 개략적으로 도시한 도면이다.1 is a diagram schematically illustrating an internal structure of an IEEE 802.16e communication system using a general EAP-in-EAP scheme.

상기 도 1을 참조하면, 상기 IEEE 802.16e 통신 시스템은 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(100)와, 기지국(BS: Base Station)(110)과, 기기(device) 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다)(이하 'AAA-D'라 칭하기로 한다) 서버(120)와, 사용자(user) AAA(이하, 'AAA-U'라 칭하기로 한다) 서버(130)를 포함한다. 상기 MS(100)는 상기 기지국(110)을 통해 상기 AAA-D 서버(120)와 기기 인증을 수행하고, 상기 기지국(110)을 통해 상기 AAA-U 서버(130)와 사용자 인증을 수행한다. 상기 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하므로 두 번의 EAP 방식에 따른 인증이 수행된다. 이하, 설명의 편의상 상기 EAP 방식을 사용하여 수행하는 인증을 'EAP 인증'이라 칭하기로 한다. 상기 두 번의 EAP 인증들중 첫 번째 EAP 인증은 사용자를 인증하기 위한 것이며, 두 번째 EAP 인증은 상기 첫 번째 EAP 인증이 성공한 후 기기를 인증하기 위한 것이다. Referring to FIG. 1, the IEEE 802.16e communication system includes a mobile station (MS) 100, a base station 110, and a device (BS). device) Authorization, Authentication and Accounting (hereinafter referred to as AAA) (hereinafter referred to as "AAA-D") Server 120 and user AAA (hereinafter referred to as "AAA-D") It will be referred to as 'AAA-U') server (130). The MS 100 performs device authentication with the AAA-D server 120 through the base station 110 and performs user authentication with the AAA-U server 130 through the base station 110. Since the IEEE 802.16e communication system uses the EAP-in-EAP method, authentication is performed according to two EAP methods. Hereinafter, for convenience of description, authentication performed using the EAP method will be referred to as 'EAP authentication'. The first EAP authentication of the two EAP authentications is for authenticating a user, and the second EAP authentication is for authenticating a device after the first EAP authentication is successful.

상기 도 1에서는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조에 대해서 설명하였으며, 다음으로 도 2를 참조하여 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작에 대해서 설명하기로 한다.In FIG. 1, an internal structure of an IEEE 802.16e communication system using a general EAP-in-EAP method has been described. Next, an IEEE 802.16e communication system using a general EAP-in-EAP method will be described with reference to FIG. 2. An operation of performing reauthentication will be described.

상기 도 2는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도이다.2 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using a general EAP-in-EAP scheme.

상기 도 2를 설명하기에 앞서, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증 동작을 수행할 경우에도 초기 인증 동작을 수행할 경우와 마찬가지로 사용자 재인증 및 기기 재인증의 두 번의 EAP 인증들을 필요로 하며, 설명의 편의상 상기 재인증을 위한 EAP 인증을 'EAP 재인증'이라 칭하기로 한다. Prior to the description of FIG. 2, in the IEEE 802.16e communication system using the EAP-in-EAP method, even when the re-authentication operation is performed, the user re-authentication and device re-authentication are performed as in the case of performing the initial authentication operation. Two EAP authentications are required, and for convenience of explanation, the EAP authentication for re-authentication will be referred to as 'EAP re-authentication'.

상기 도 2를 참조하면, 먼저 기지국(220)이 사용자 재인증이 필요로 되는 시점에서 MS(200)로 EAP 재인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(200)와 기지국(220)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다) 버전 2(version 2)(이하, 'PKMv2'라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKMv2_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(220)은 상기 MS(200)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(211단계). Referring to FIG. 2, first, an EAP-Request / Identity (hereinafter, referred to as 'EAP-REQUEST') requesting an EAP reauthentication to the MS 200 when the base station 220 needs user reauthentication. / IDENTITY ') is sent. Here, in the IEEE 802.16e communication system, privacy key management (PKM: hereinafter referred to as 'PKM') between the MS 200 and the base station 220 is version 2 (hereinafter, referred to as 'PKMv2'). Since the E_transfer (hereinafter referred to as PKMv2_EAP_TRANSFER) message is used to transmit and receive messages according to the EAP scheme, the base station 220 transmits the PKMv2_EAP_TRANSFER / EAP to the MS 200. -REQUEST / IDENTITY message is sent (step 211).

상기 기지국(220)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(200)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지 에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(220)으로 송신한다(213단계). Upon receiving the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message from the base station 220, the MS 200 sends a PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message to the PKMv2_EAP_TRANSFER / EAP-response (RESPONSE) / IDENTITY (IDENTITY (ID)). A message 'PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY' is transmitted to the base station 220 (step 213).

상기 MS(200)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(220)은 상기 MS(200)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 상기 AAA-U 서버(260)로 그대로 포워딩(forwarding)한다. 상기 IEEE 802.16e 통신 시스템에서는 상기 기지국(220)과 AAA-U 서버(260)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신하는데, 상기 도 2에서는 상기 기지국(220)과 AAA-U 서버(260)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(220)은 RADIUS/ 억세스 요구/식별(RADIUS/ ACCESS REQUEST/IDENTITY, 이하 'RADIUS/ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA-U 서버(260)로 송신하게 된다(215단계).The base station 220 receiving the PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY message from the MS 200 forwards the PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY message received from the MS 200 to the AAA-U server 260 as it is. (forwarding) The IEEE 802.16e communication system transmits and receives messages according to an EAP method using a RADIUS (Remote Authentication Dial-In User Service) protocol message or a DIAMETER protocol message between the base station 220 and the AAA-U server 260. In FIG. 2, it is assumed that messages are transmitted and received according to an EAP method using a RADIUS protocol message between the base station 220 and the AAA-U server 260. Accordingly, the base station 220 transmits a RADIUS / ACCESS REQUEST / IDENTITY (hereinafter, referred to as “RADIUS / ACCESS REQUEST / IDENTITY”) message to the AAA-U server 260. (Step 215).

상기 기지국(220)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-U 서버(260)는 상기 MS(200)에 대한 사용자 재인증을 수행하는데, 상기 AAA-U 서버(260)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지들을 재인증하여 상기 MS(200)에 대한 사용자 재인증을 수행한다(217단계). 이렇게, 상기 MS(200)에 대한 사용자 재인증을 완료하면 상기 AAA-U 서버(260)와 상기 MS(200)는 사용자 마스터 세션 키(MSK_U: Master Session Key_User, 이하 'MSK_U'라 칭하기로 한다)를 공유하게 된다(219단계, 221단계). The AAA-U server 260 receiving the RADIUS / ACCESS REQUEST / IDENTITY message from the base station 220 performs user re-authentication for the MS 200. The AAA-U server 260 performs EAP-MD5. The PKMv2_EAP_TRANSFER messages are re-authenticated using the Message-Digest 5 scheme, the Microsoft Challenge Authentication Protocol version 2 (EAP-MSCHAPv2) scheme, and the like, and the user re-authentication is performed (step 217). As such, when the user re-authentication for the MS 200 is completed, the AAA-U server 260 and the MS 200 are referred to as a user master session key (MSK_U: Master Session Key_User, hereinafter referred to as 'MSK_U'). (Step 219, step 221).

이후, 상기 AAA-U 서버(260)는 AAA-D 서버(240)로 EAP 재인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS/EAP-SUCCESS 메시지를 송신한다(223단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. 상기 AAA-D 서버(240)는 상기 AAA-U 서버(260)로부터 RADIUS/EAP-SUCCESS 메시지를 수신함에 따라 상기 MS(200)에 대한 사용자 재인증에 성공하였음을 인식하게 되고, 두 번째 EAP 재인증이 필요한지 판단한다(225단계). 여기서, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증시에도 사용자에 대해서 뿐만 아니라 기기에 대해서도 EAP 재인증을 수행해야하므로 상기 AAA-D 서버(240)는 두 번째 EAP 재인증이 필요하다고 판단하게 된다.Thereafter, the AAA-U server 260 is a RADIUS / EAP that is an EAP Success (EAP-SUCCESS, hereinafter 'EAP-SUCCESS') message indicating that the EAP re-authentication is successful with the AAA-D server 240. Send a SUCCESS message (step 223). Here, the RADIUS / EAP-SUCCESS message includes the MSK_U. When the AAA-D server 240 receives the RADIUS / EAP-SUCCESS message from the AAA-U server 260, the AAA-D server 240 recognizes that the user re-authentication is successful for the MS 200. Determine whether authentication is required (step 225). Here, in the IEEE 802.16e communication system using the EAP-in-EAP method, the AAA-D server 240 re-authenticates the second EAP since the EAP re-authentication should be performed not only for the user but also for the device during re-authentication. It is decided that this is necessary.

이렇게, 두 번째 EAP 재인증이 필요하다고 판단한 AAA-D 서버(240)는 상기 기지국(220)으로 상기 MS(200)에 대한 사용자 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(227단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. 상기 기지국(220)은 상기 AAA-D 서버(240)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_U를 사용하여 첫 번째 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)인 PMK_1을 생성한다(229단계). 또한, 상기 기지국(220)은 상기 MS(200)로 사용자 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(231단계). 상기 211단계 내지 231단계의 과정을 통해 상기 MS(200)에 대한 사용자 재인증이 완료되며, 이것이 첫 번째 EAP 재인증이 되는 것이다.Thus, the AAA-D server 240 determines that the second EAP re-authentication is necessary transmits a RADIUS / EAP-SUCCESS message indicating that the user re-authentication for the MS 200 was successful ( Step 227). Here, the RADIUS / EAP-SUCCESS message includes the MSK_U. The base station 220 uses the MSK_U included in the RADIUS / EAP-SUCCESS message received from the AAA-D server 240 to call a first Pairwise Master Key (PMK). PMK_1) (step 229). In addition, the base station 220 transmits a PKMv2_EAP_TRANSFER / EAP-SUCCESS message to the MS 200 indicating that the user re-authentication is successful (step 231). The user reauthentication for the MS 200 is completed through the steps 211 to 231, which is the first EAP reauthentication.

한편, 상기 기지국(220)은 기기 재인증이 필요로 되는 시점에서 상기 MS(200)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(233단계). 상기 기지국(220)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(200)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(220)으로 송신한다(235단계). Meanwhile, the base station 220 transmits a PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message to the MS 200 when the device re-authentication is needed (step 233). Upon receiving the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message from the base station 220, the MS 200 receives the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message as a response message for the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message. (Step 235).

상기 MS(200)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(220)은 상기 MS(200)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 RADIUS/ ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA-D 서버(240)로 포워딩한다(237단계).The base station 220 receiving the PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY message from the MS 200 generates the PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY message received from the MS 200 in the form of a RADIUS / ACCESS REQUEST / IDENTITY message. It is forwarded to the AAA-D server 240 as it is (step 237).

상기 기지국(220)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-D 서버(240)는 상기 MS(200)에 대한 기기 재인증을 수행하는데, 상기 AAA-D 서버(240)는 EAP-TLS(Transport Level Security) 방식과, EAP-TLSPSK(Transport Level Security Pre-Shared Key) 방식과, EAP-AKA(Authentication and Key Agreement) 방식 및 EAP-PSK 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지를 재인증하여 MS(200)의 기기 재인증을 수행한다(239단계). 이렇게, 상기 MS(200)에 대한 기기 재인증을 완료하면 상기 AAA-D 서버(240)와 상기 MS(200)는 기기 마스터 세션 키(MSK_U: Master Session Key_Device, 이하 'MSK_D'라 칭하기로 한다) 를 공유하게 된다(241단계, 243단계). The AAA-D server 240 receiving the RADIUS / ACCESS REQUEST / IDENTITY message from the base station 220 performs device re-authentication for the MS 200. The AAA-D server 240 performs the EAP-TLS. MS re-authenticates the PKMv2_EAP_TRANSFER message using a Transport Level Security (EAP-TLSPSK) method, a Transport Level Security Pre-Shared Key (EAP-TLSPSK) method, an Authentication and Key Agreement (EAP-AKA) method, and an EAP-PSK method. Re-authentication of the device 200 is performed (operation 239). As such, when the device re-authentication is completed for the MS 200, the AAA-D server 240 and the MS 200 are referred to as a device master session key (MSK_U: Master Session Key_Device, hereinafter referred to as 'MSK_D'). Are shared (steps 241 and 243).

이후, 상기 AAA-D 서버(240)는 상기 기지국(220)으로 EAP 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(245단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_D를 포함한다. 상기 기지국(220)은 상기 AAA-D 서버(240)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_D를 사용하여 두 번째 PMK인 PMK_2를 생성한다(247단계). 또한, 상기 기지국(220)은 상기 MS(200)로 기기 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(249단계). 상기 233단계 내지 249단계의 과정을 통해 상기 MS(200)에 대한 기기 재인증이 완료되며, 이것이 두 번째 EAP 재인증이 되는 것이다.Thereafter, the AAA-D server 240 transmits a RADIUS / EAP-SUCCESS message indicating successful EAP reauthentication to the base station 220 (step 245). Here, the RADIUS / EAP-SUCCESS message includes the MSK_D. The base station 220 generates the second PMK PMK_2 using MSK_D included in the RADIUS / EAP-SUCCESS message received from the AAA-D server 240 (step 247). In addition, the base station 220 transmits a PKMv2_EAP_TRANSFER / EAP-SUCCESS message to the MS 200 indicating that the device re-authentication was successful (step 249). The device re-authentication for the MS 200 is completed through the processes of steps 233 to 249, which is the second EAP re-authentication.

이렇게, 상기 MS(200)의 기기 재인증까지 완료되면, 상기 MS(200)와 기지국(220)는 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다) 동작을 수행한다(251단계). 상기 SA-TEK 3way handshake 동작이 완료되면 상기 MS(200)와 기지국(220)은 상기 PMK_1과 PMK_2로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(253단계, 255단계). As such, when the MS 200 completes device re-authentication, the MS 200 and the base station 220 establish a security related & traffic encryption key 3-way handshake (SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way). Handshake, hereinafter referred to as 'SA-TEK 3way handshake') (step 251). When the SA-TEK 3way handshake operation is completed, the MS 200 and the base station 220 generate an authorization key (AK) (hereinafter, referred to as "AK") from the PMK_1 and PMK_2 (step 253). Step 255).

여기서, 상기 PMK_1과 PMK_2를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.Herein, an operation of generating the AK with the PMK_1 and PMK_2 will be described in detail.

먼저, 상기 MS(200)와 기지국(220)은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK_1과 PMK_2를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식1과 같은 함수로 나타낼 수 있다. First, the MS 200 and the base station 220 generate the AK by applying PMK_1 and PMK_2 to the AK generation function, for example, a Dot16KDF function. Here, the Dot16KDF function may be represented by a function as shown in Equation 1 below.

Figure 112005065460785-PAT00001
Figure 112005065460785-PAT00002
Figure 112005065460785-PAT00001
Figure 112005065460785-PAT00002

상기 수학식 1에서 MSID는 현재 EAP 인증을 수행하는 MS(200)의 식별자를 나타내며, BSID는 상기 기지국(220)의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK_1과 PMK_2를 배타적 논리합(XOR) 연산한 파라미터와, MSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다. In Equation 1, MSID indicates an identifier of the MS 200 that currently performs EAP authentication, BSID indicates an identifier of the base station 220, and 'AK' indicates that a key generated by the Dot16KDF function is AK. , 160 indicates that the length of AK, which is a key generated by the Dot16KDF function, is 160 bits. That is, the Dot16KDF function is a function for generating an AK of 160 bits in length using a parameter obtained by performing an exclusive OR operation on the PMK_1 and PMK_2 and a parameter concatenated with the MSID and the BSID.

상기 도 2에서 설명한 바와 같이 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증을 수행할 경우에도 사용자 인증 및 기기 인증의 두 번의 EAP 재인증을 수행하고 있다. 따라서, 상기 두 번의 EAP 재인증으로 인해 무선 자원의 사용량이 증가하게 되고, 재인증 시간이 증가되어 결과적으로 시스템 전체 성능이 저하되었었다. As described in FIG. 2, the IEEE 802.16e communication system using the EAP-in-EAP method performs two EAP re-authentications, user authentication and device authentication, even when re-authentication is performed. Accordingly, the two EAP re-authentication increases the usage of radio resources, increases the re-authentication time, and as a result, the overall system performance is degraded.

따라서, 본 발명의 목적은 EAP-in-EAP 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템 및 방법을 제공함에 있다.Accordingly, an object of the present invention is to provide a system and method for performing reauthentication in a broadband wireless access communication system using an EAP-in-EAP scheme.

본 발명의 다른 목적은 EAP-in-EAP 방식을 사용하는 광대역 무선 접속 통신 시스템에서 한 번의 EAP 재인증만을 통해 사용자 및 기기를 재인증하는 시스템 및 방법을 제공함에 있다. Another object of the present invention is to provide a system and method for re-authenticating a user and a device through only one EAP re-authentication in a broadband wireless access communication system using an EAP-in-EAP scheme.

상기한 목적들을 달성하기 위한 본 발명의 시스템은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템에 있어서, 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 상기 AAA-U 서버와, 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 AAA-D 서버와, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 상기 기지국과, 상기 PMK를 사용하여 상기 AK를 생성하는 상기 이동 단말기를 포함함을 특징으로 한다.The system of the present invention for achieving the above objects; A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: In a system for performing reauthentication in a broadband wireless access communication system using an Extensible Authentication Protocol (Extensible Authentication Protocol) method, a user master session key (MSK) generated by performing user reauthentication for the mobile terminal according to the EAP method. Generate a new MSK_U, MSK_U1, by using the AAA-U server transmitting MSK_U to the AAA-D server, and the device MSK (MSK_D) generated during initial authentication of the MSK_U and the mobile terminal. An AAA-D server that transmits the MSK_U1 to the base station and a pairwise master key (PMK) are generated using the MSK_U1 and an authorization key (AK: Authori) using the PMK. and the mobile station for generating the AK using the PMK and the base station for generating a zation key.

상기한 목적들을 달성하기 위한 본 발명의 방법은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 과정과, 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 과정과, 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과, 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함함을 특징으로 한다.The method of the present invention for achieving the above objects; A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: A method for performing reauthentication in a broadband wireless access communication system using an Extensible Authentication Protocol), wherein the AAA-U server generates a user master session key generated by performing user reauthentication with respect to the mobile terminal according to the EAP method. (MSK: Master Session Key) (MSK_U) is transmitted to the AAA-D server, the AAA-D server using the device MSK (MSK_D) generated during the device initial authentication for the MSK_U and the mobile terminal Generating a new MSK_U, MSK_U1, and transmitting the MSK_U1 to the base station; and generating, by the base station, a pairwise master key (PMK) using the MSK_U1. And, the mobile terminal and the base station uses the authorization key PMK: characterized in that it comprises the step of generating the (AK Authorization Key).

상기한 목적들을 달성하기 위한 본 발명의 다른 방법은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-U 서버로부터 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 수신하는 과정과, 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하여 상기 기지국이 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하도록 제어하는 과정을 포함함을 특징으로 한다.Another method of the present invention for achieving the above objects is; A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: A method for performing reauthentication in a broadband wireless access communication system using an Extensible Authentication Protocol), comprising: a user master session key generated by performing user reauthentication from the AAA-U server to the mobile terminal according to the EAP method (MSK: Master Session Key) (MSK_U) and generating a new MSK_U, MSK_U1 using the MSK_U and the device MSK (MSK_D) generated during the initial authentication of the device to the mobile terminal and recall the MSK_U1 Transmitting to a base station and controlling the base station to generate a pairwise master key (PMK) using the MSK_U1. .

상기한 목적들을 달성하기 위한 본 발명의 또 다른 방법은;이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-D 서버로부터 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 생성한, 새로운 MSK_U인 MSK_U1을 수신하는 과정과, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함하며, 상기 MSK_U는 상기 AAA-U 서버가 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증을 수행하여 생성됨을 특징으로 한다.Another method of the present invention for achieving the above object is a mobile terminal, a base station, a user authorization, authentication and accounting (AAA) server, device AAA (AAA- D) A method for performing re-authentication in a broadband wireless access communication system including a server and using a dual extensible authentication protocol (EAP) method, comprising: a user master session key (MSK) from the AAA-D server; : Receiving a new MSK_U, MSK_U1, created using a Master Session Key) (MSK_U) and a device MSK (MSK_D) generated during device initial authentication for the mobile terminal, and using the MSK_U1 to pairwise master key Generating a pairwise master key (PMK), and generating an authorization key (AK) using the PMK, wherein the MSK_U is configured by the AAA-U server according to the EAP method. And is generated by performing user reauthentication for the other mobile terminal.

이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

본 발명은 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭하기로 한다) 통신 시스템, 일 예로 IEEE(Institute of Electrical and Electronics Engineers) 802.16e 통신 시스템에서 재인증 시스템 및 방법을 제안한 다. 특히, 본 발명은 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 IEEE 802.16e 통신 시스템에서 한 번의 EAP 재인증만을 통해 사용자(user) 및 기기(device)를 재인증하는 시스템 및 방법을 제안한다. 또한, 본 발명은 twice EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 한번의 EAP 재인증만을 통해서도 Man-in-the-middle-Attack 현상을 방지하여 사용자 및 기기를 재인증하는 시스템 및 방법을 제안한다. 여기서, 상기 Man-in-the-middle-Attack 현상은 비정상적인 사용자/기기가 정상적인 사용자/기기의 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 도용하여 EAP 인증을 수행하는 현상이며, 본 발명과 직접적인 연관이 없으므로 그 상세한 설명을 생략하기로 한다. The present invention proposes a re-authentication system and method in a broadband wireless access (BWA) communication system, for example, an Institute of Electrical and Electronics Engineers (IEEE) 802.16e communication system. In particular, the present invention relates to a single IEEE 802.16e communication system using a dual extensible authentication protocol (EAP) (hereinafter, referred to as 'EAP') (hereinafter, referred to as 'twice EAP'). We propose a system and method for re-authenticating users and devices only through EAP re-authentication. In addition, the present invention proposes a system and method for re-authenticating a user and a device by preventing a Man-in-the-middle-Attack phenomenon through only one EAP reauthentication in an IEEE 802.16e communication system using a twice EAP scheme. . In this case, the Man-in-the-middle-Attack phenomenon is a phenomenon in which an abnormal user / device steals EAP authentication by using an authorization key (AK) of a normal user / device. Since the present invention is not directly related to the present invention, a detailed description thereof will be omitted.

이하, 설명의 편의상 상기 이중 EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다. 또한, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 구조는 종래 기술 부분의 도 1에서 설명한 구조와 동일하므로, 그 구체적인 설명을 생략하기로 한다. 그리고, 본 발명에서는 설명의 편의상 상기 IEEE 802.16e 통신 시스템을 일 예로 하여 설명하지만, 본 발명에서 제안하는 방안은 상기 IEEE 802.16e 통신 시스템 뿐만 아니라 다른 통신 시스템들에도 적용될 수 있음은 물론이다.Hereinafter, for convenience of description, the dual EAP method will be referred to as an 'EAP-in-EAP method', and an operation mode using the EAP-in-EAP method will be referred to as an 'EAP-in-EAP mode'. do. In addition, the structure of the IEEE 802.16e communication system using the EAP-in-EAP method is the same as the structure described in Figure 1 of the prior art, the detailed description thereof will be omitted. In the present invention, for convenience of description, the IEEE 802.16e communication system will be described as an example, but the method proposed by the present invention can be applied to other communication systems as well as the IEEE 802.16e communication system.

도 3은 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도이다.3 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using an EAP-in-EAP scheme according to an embodiment of the present invention.

상기 도 3을 설명하기에 앞서, 종래 기술 부분에서도 설명한 바와 같이 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증 동작을 수행할 경우에도 초기 인증 동작을 수행할 경우와 마찬가지로 사용자 재인증 및 기기 재인증의 두 번의 EAP 인증들을 필요로 했었다. 그러나, 본 발명의 실시예에 따른 재인증 동작을 수행할 경우에는 사용자 재인증 및 기기 재인증을 위해 한 번의 EAP 인증만을 필요로 한다. 이하, 설명의 편의상 상기 재인증을 위한 EAP 인증을 'EAP 재인증'이라 칭하기로 한다.3, in the IEEE 802.16e communication system using the general EAP-in-EAP method as described in the prior art, the user is performed similarly to the initial authentication even when the re-authentication is performed. Two EAP certificates were required, one for re-authentication and one for device re-authentication. However, when performing the re-authentication operation according to an embodiment of the present invention, only one EAP authentication is required for user re-authentication and device re-authentication. Hereinafter, for convenience of description, the EAP authentication for reauthentication will be referred to as 'EAP reauthentication'.

상기 도 3을 참조하면, 먼저 기지국(BS: Base Station)(320)이 사용자 재인증 및 기기 재인증이 필요로 되는 시점에서 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(300)로 EAP 재인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(300)와 기지국(320)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다) 버전 2(version 2)(이하, 'PKMv2'라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKMv2_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(320)은 상기 MS(300)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(311단계). Referring to FIG. 3, first, when a base station (BS) 320 needs user re-authentication and device re-authentication, it will be referred to as a mobile station (MS). 300, an EAP Request / Identity (hereinafter, referred to as 'EAP-REQUEST / IDENTITY') requesting EAP reauthentication is transmitted. Here, in the IEEE 802.16e communication system, privacy key management (PKM) is referred to as "PKM" between the MS 300 and the base station 320 (version 2) (hereinafter, 'PKMv2'). Since the E_transfer (hereinafter referred to as PKMv2_EAP_TRANSFER) message is used to transmit and receive messages according to the EAP method, the base station 320 transmits the PKMv2_EAP_TRANSFER / EAP to the MS 300. A REQUEST / IDENTITY message is sent (step 311).

상기 기지국(320)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(300)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지 에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(320)으로 송신한다(313단계). Upon receiving the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message from the base station 320, the MS 300 sends a PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message to the PKMv2_EAP_TRANSFER / EAP-response (RESPONSE) / IDENTITY (IDENTITY (ID)). The message 'PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY' is transmitted to the base station 320 (step 313).

상기 MS(300)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(320)은 상기 MS(300)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 사용자(user) 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다)(이하 'AAA-U'라 칭하기로 한다) 서버(360)로 그대로 포워딩(forwarding)한다. 상기 IEEE 802.16e 통신 시스템에서는 상기 기지국(320)과 AAA-U 서버(360)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신하는데, 상기 도 3에서는 상기 기지국(320)과 AAA-U 서버(360)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(320)은 RADIUS/ 억세스 요구/식별(RADIUS/ ACCESS REQUEST/IDENTITY, 이하 'RADIUS/ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA-U 서버(360)로 송신하게 된다(315단계).The base station 320 that receives the PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY message from the MS 300 receives the PKMv2_EAP_TRANSFER / EAP-RESPONSE / IDENTITY message received from the MS 300, and performs user authority, authentication, and accounting (AAA). : Authorization, Authentication and Accounting, hereinafter referred to as 'AAA' (hereinafter referred to as 'AAA-U'). The server 360 forwards the data as it is. The IEEE 802.16e communication system transmits and receives messages according to an EAP method using a RADIUS (Remote Authentication Dial-In User Service) protocol message or a DIAMETER protocol message between the base station 320 and the AAA-U server 360. In FIG. 3, it is assumed that messages are transmitted and received according to an EAP method using a RADIUS protocol message between the base station 320 and the AAA-U server 360. Accordingly, the base station 320 transmits a RADIUS / ACCESS REQUEST / IDENTITY (hereinafter, referred to as “RADIUS / ACCESS REQUEST / IDENTITY”) message to the AAA-U server 360. (Step 315).

상기 기지국(320)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-U 서버(360)는 상기 MS(300)에 대한 사용자 재인증을 수행하는데, 상기 AAA-U 서버(360)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지들을 재인증하여 상기 MS(300)에 대한 사용자 재인증을 수행한다(317단계). 이렇게, 상기 MS(300)에 대한 사용자 재인증을 완료하면 상기 AAA-U 서버(360)와 상기 MS(300)는 사용자 마스터 세션 키(MSK_U: Master Session Key_User, 이하 'MSK_U'라 칭하기로 한다)를 공유하게 된다(319단계, 321단계). The AAA-U server 360 receiving the RADIUS / ACCESS REQUEST / IDENTITY message from the base station 320 performs user re-authentication for the MS 300. The AAA-U server 360 performs EAP-MD5. The PKMv2_EAP_TRANSFER messages are re-authenticated using the (Message-Digest5) scheme, the Microsoft Challenge Authentication Protocol version 2 (EAP-MSCHAPv2) scheme, etc. (step 317). In this way, when the user re-authentication for the MS 300 is completed, the AAA-U server 360 and the MS 300 are referred to as a user master session key (MSK_U: Master Session Key_User, hereinafter referred to as 'MSK_U'). Are shared (steps 319 and 321).

이후, 상기 AAA-U 서버(360)는 기기(device) AAA(이하, 'AAA-D'라 칭하기로 한다) 서버(340)로 EAP 재인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS/EAP-SUCCESS 메시지를 송신한다(323단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. Thereafter, the AAA-U server 360 is an EAP success (EAP-SUCCESS), which indicates that the device AAA (hereinafter, referred to as 'AAA-D') server 340 has succeeded in re-authenticating EAP. The RADIUS / EAP-SUCCESS message, which is referred to as an 'EAP-SUCCESS' message, is transmitted (step 323). Here, the RADIUS / EAP-SUCCESS message includes the MSK_U.

상기 AAA-D 서버(340)는 상기 AAA-U 서버(360)로부터 RADIUS/EAP-SUCCESS 메시지를 수신함에 따라 상기 MS(300)에 대한 사용자 재인증에 성공하였음을 인식하게 되고, 두 번째 EAP 재인증이 필요한지 판단한다. 여기서, 본 발명에서는 재인증시 한 번의 EAP 재인증만으로 사용자 뿐만 아니라 기기 모두에 대해 재인증을 수행할 수 있으므로, 상기 AAA-D 서버(340)는 두 번째 EAP 재인증이 필요하지 않다고 판단하게 된다. 이렇게, 두 번째 EAP 재인증이 필요하지 않다고 판단한 AAA-D 서버(340)는 상기 MSK_U 이외의 또 다른 MSK_U를 생성하는데(325단계), 이를 'MSK_U1'이라 칭하기로 한다. 여기서, 상기 MSK_U1은 하기 수학식 2와 같은 KDF 함수에 의해 생성된다.As the AAA-D server 340 receives the RADIUS / EAP-SUCCESS message from the AAA-U server 360, the AAA-D server 340 recognizes that the user re-authentication is successful for the MS 300, and the second EAP re-authentication is performed. Determine if authentication is required. Here, in the present invention, since reauthentication can be performed not only for the user but also for all devices by only one EAP reauthentication, the AAA-D server 340 determines that the second EAP reauthentication is not necessary. Thus, the AAA-D server 340 determines that the second EAP re-authentication is not necessary to generate another MSK_U other than the MSK_U (step 325), which will be referred to as 'MSK_U1'. Here, MSK_U1 is generated by a KDF function as shown in Equation 2 below.

Figure 112005065460785-PAT00003
Figure 112005065460785-PAT00003

상기 수학식 2에 나타낸 바와 같이 MSK들, 즉 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수가 상기 KDF 함수이다. 여기서, 상기 MSK_D는 상기 MS(300)의 초기 인증시 생성되었었던 기기 마스터 세션 키(MSK_U: Master Session Key_Device, 이하 'MSK_D'라 칭하기로 한다)이다. As shown in Equation 2, a function of combining MSKs, that is, MSK_U and MSK_D to generate MSK_U1, is the KDF function. Here, the MSK_D is a device master session key (MSK_U: Master Session Key_Device, hereinafter referred to as 'MSK_D') generated during initial authentication of the MS 300.

이렇게, 상기 MSK_U1을 생성한 후 상기 AAA-D 서버(340)는 상기 기지국(320)으로 상기 MS(300)에 대한 사용자 재인증 및 기기 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(327단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U1를 포함한다. 상기 기지국(320)은 상기 AAA-D 서버(340)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_U1를 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)를 생성한다(329단계). 또한, 상기 기지국(320)은 상기 MS(300)로 사용자 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(331단계). Thus, after generating the MSK_U1, the AAA-D server 340 transmits a RADIUS / EAP-SUCCESS message indicating that the user re-authentication and device re-authentication for the MS 300 was successful to the base station 320. (Step 327). Here, the RADIUS / EAP-SUCCESS message includes the MSK_U1. The base station 320 will be referred to as a pairwise master key (PMK) using MSK_U1 included in the RADIUS / EAP-SUCCESS message received from the AAA-D server 340. (Step 329). In addition, the base station 320 transmits a PKMv2_EAP_TRANSFER / EAP-SUCCESS message indicating that the user reauthentication was successful to the MS 300 (step 331).

상기 311단계 내지 331단계를 통해 상기 MS(300)에 대한 사용자 재인증 뿐만 아니라 기기 재인증이 수행되는 것이다. 이렇게, 상기 MS(300)의 사용자 재인증 및 기기 재인증이 완료되면, 상기 MS(300)와 기지국(320)는 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다) 동작을 수행한다(333단계). 상기 SA-TEK 3way handshake 동작이 완료되면 상기 MS(300)와 기지국(320)은 상기 PMK으로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(335단계, 337단계). In step 311 to step 331, not only user re-authentication for the MS 300 but also device re-authentication is performed. As such, when the user re-authentication and device re-authentication of the MS 300 is completed, the MS 300 and the base station 320 establish a security-related & traffic encryption key 3-way handshake (SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, hereinafter referred to as 'SA-TEK 3way handshake') (step 333). When the SA-TEK 3-way handshake operation is completed, the MS 300 and the base station 320 generate an authorization key (AK) (hereinafter, referred to as "AK") from the PMK (steps 335 and 337). ).

여기서, 상기 PMK를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.Here, the operation of generating the AK with the PMK will be described in detail.

먼저, 상기 MS(300)와 기지국(320)은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식 3과 같은 함수로 나타낼 수 있다. First, the MS 300 and the base station 320 generate the AK by applying PMK to the AK generation function, for example, the Dot16KDF function. Here, the Dot16KDF function may be represented by a function as shown in Equation 3 below.

Figure 112005065460785-PAT00004
Figure 112005065460785-PAT00005
Figure 112005065460785-PAT00004
Figure 112005065460785-PAT00005

상기 수학식 3에서 MSID는 현재 EAP 인증을 수행하는 MS(300)의 식별자를 나타내며, BSID는 상기 기지국(320)의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK와, MSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다. In Equation 3, MSID represents an identifier of the MS 300 that currently performs EAP authentication, BSID represents an identifier of the base station 320, and 'AK' represents that the key generated by the Dot16KDF function is AK. , 160 indicates that the length of AK, which is a key generated by the Dot16KDF function, is 160 bits. That is, the Dot16KDF function is a function for generating an AK having a length of 160 bits using the PMK, a parameter concatenated with the MSID and the BSID.

상기 수학식 3에 나타낸 바와 같이 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 사용자 재인증시 생성한 MSK_U와 기기 초기 인증시 생성한 MSK_D 모두를 사용하여 생성한 PMK를 가지고 AK를 생성하기 때문에 Man-in-the-middle-Attack 현상이 발생하는 것을 방지할 수 있다. 즉, 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 1번의 EAP 재인증만으로도 Man-in-the-middle-Attack 현상이 발생하지 않는 사용자 재인증 및 기기 재인증이 가능하므로 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 2번의 EAP 재인증을 수행함으로 인해 발생되었던 무선 자원의 사용량 증가 및 재인증 시간 증가를 해소하여 시스템 전체 성능을 향상시킨다. As shown in Equation 3, in the IEEE 802.16e communication system using the EAP-in-EAP method according to an embodiment of the present invention, the MSK_U generated during user reauthentication and the MSK_D generated during initial device authentication are generated. Since AK is generated with PMK, Man-in-the-middle-Attack can be prevented from occurring. That is, in the IEEE 802.16e communication system using the EAP-in-EAP method according to an embodiment of the present invention, the user re-authentication and device re-authentication that does not occur Man-in-the-middle-Attack phenomenon by only one EAP re-authentication Since authentication is possible, the system performance is improved by eliminating the increase in the use of wireless resources and the increase in reauthentication time caused by two EAP reauthentication in the IEEE 802.16e communication system using the general EAP-in-EAP method. .

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by the equivalents of the claims.

상술한 바와 같은 본 발명은, EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 1번의 EAP 재인증만으로도 Man-in-the-middle-Attack 현상이 발생하지 않는 사용자 재인증 및 기기 재인증을 가능하게 하여 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 2번의 EAP 재인증을 수행함으로 인해 발생되었던 무선 자원의 사용량 증가 및 재인증 시간 증가를 해소하여 시스템 전체 성능을 향상시킨다는 이점을 가진다. As described above, the present invention provides a user re-authentication and device re-authentication in which a man-in-the-middle-Attack phenomenon does not occur with only one EAP re-authentication in an IEEE 802.16e communication system using an EAP-in-EAP method. In order to improve overall system performance by eliminating the increase in the use of wireless resources and the increase in reauthentication time caused by performing two EAP reauthentication in the IEEE 802.16e communication system using the general EAP-in-EAP method. Has an advantage.

Claims (20)

이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: In the method for performing re-authentication in a broadband wireless access communication system using an Extensible Authentication Protocol), 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 과정과,Transmitting, by the AAA-U server, a user master session key (MSK_U) generated by performing a user reauthentication for the mobile terminal according to the EAP method, to the AAA-D server; 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 과정과,Generating, by the AAA-D server, a new MSK_U, MSK_U1, using the MSK_U and the device MSK (MSK_D) generated during the initial authentication of the mobile terminal, and transmitting the MSK_U1 to the base station; 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과,The base station generating a pairwise master key (PMK) using the MSK_U1; 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The mobile terminal and the base station is a method for performing re-authentication in a broadband wireless access communication system comprising the step of generating an authorization key (AK) using the PMK. 제1항에 있어서,The method of claim 1, 상기 AAA-D 서버가 MSK_U1을 생성하는 과정은 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 상기 MSK_U1로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.And generating the MSK_U1 by the AAA-D server by combining the MSK_U and the MSK_D to generate the MSK_U1. 제1항에 있어서,The method of claim 1, 상기 AAA-D 서버가 MSK_U1을 생성하는 과정은 하기 수학식 4와 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The process of generating the MSK_U1 by the AAA-D server is represented by Equation 4 below.
Figure 112005065460785-PAT00006
Figure 112005065460785-PAT00006
 상기 수학식 4에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임. In Equation 4, the KDF function is a function of combining MSK_U and MSK_D to generate MSK_U1. 제1항에 있어서,The method of claim 1, 상기 이동 단말기와 상기 기지국이 상기 AK를 생성하는 과정은 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.In the process of generating the AK by the mobile terminal and the base station, the AK is generated by the AK using a parameter obtained by concatenating the PMK, the identifier of the mobile terminal, and the identifier of the base station. How to perform reauthentication. 제1항에 있어서,The method of claim 1, 상기 이동 단말기와 상기 기지국이 상기 PMK를 사용하여 상기 AK를 생성하는 과정은 하기 수학식 5와 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The process of generating the AK by the mobile station and the base station using the PMK is represented by Equation 5 below.
Figure 112005065460785-PAT00007
Figure 112005065460785-PAT00007
 상기 수학식 5에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임. In Equation 5, MSID indicates an identifier of the mobile terminal, BSID indicates an identifier of the base station, 'AK' indicates that a key generated by the Dot16KDF function is AK, and 160 indicates that the key is generated by the Dot16KDF function. It indicates that the length of the key AK is 160 bits, and the Dot16KDF function generates a 160-bit AK using a parameter obtained by concatenating the PMK with the MSID and the BSID. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템에 있어서, A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: In a system for performing re-authentication in a broadband wireless access communication system using an Extensible Authentication Protocol), 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생 성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 상기 AAA-U 서버와, The AAA-U server transmitting a user master session key (MSK_U) generated by performing user reauthentication for the mobile terminal according to the EAP method to the AAA-D server; 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 AAA-D 서버와, An AAA-D server for generating a new MSK_U, MSK_U1, using the MSK_U and the device MSK (MSK_D) generated during initial authentication of the mobile terminal, and transmitting the MSK_U1 to the base station; 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 상기 기지국과,The base station generating a pairwise master key (PMK) using the MSK_U1 and generating an authorization key (AK) using the PMK; 상기 PMK를 사용하여 상기 AK를 생성하는 상기 이동 단말기를 포함함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.And the mobile terminal for generating the AK using the PMK. 제6항에 있어서,The method of claim 6, 상기 AAA-D 서버는 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 상기 MSK_U1로 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.And the AAA-D server combines the MSK_U and the MSK_D to generate the MSK_U1. 제6항에 있어서,The method of claim 6, 상기 AAA-D 서버는 하기 수학식 6과 같이 MSK_U1을 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.The AAA-D server is a system for performing re-authentication in a broadband wireless access communication system, characterized in that to generate MSK_U1 as shown in Equation 6.
Figure 112005065460785-PAT00008
Figure 112005065460785-PAT00008
 상기 수학식 6에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임. In Equation 6, the KDF function is a function of combining MSK_U and MSK_D to generate MSK_U1. 제6항에 있어서,The method of claim 6, 상기 기지국은 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.And the base station generates the AK using a parameter obtained by concatenating the PMK, the identifier of the mobile terminal, and the identifier of the base station. 제6항에 있어서,The method of claim 6, 상기 이동 단말기는 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.And the mobile terminal generates the AK using a parameter obtained by concatenating the PMK with the identifier of the mobile terminal and the identifier of the base station. 제6항에 있어서,The method of claim 6, 상기 기지국은 하기 수학식 7과 같이 상기 PMK를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.The base station is a system for performing re-authentication in a broadband wireless access communication system, characterized in that for generating the AK using the PMK as shown in equation (7).
Figure 112005065460785-PAT00009
Figure 112005065460785-PAT00009
 상기 수학식 7에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임. In Equation 7, MSID indicates an identifier of the mobile terminal, BSID indicates an identifier of the base station, 'AK' indicates that a key generated by the Dot16KDF function is AK, and 160 indicates that the key is generated by the Dot16KDF function. It indicates that the length of the key AK is 160 bits, and the Dot16KDF function generates a 160-bit AK using a parameter obtained by concatenating the PMK with the MSID and the BSID. 제6항에 있어서,The method of claim 6, 상기 이동 단말기는 하기 수학식 8과 같이 상기 PMK를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.And the mobile terminal generates the AK using the PMK as in Equation 8 below.
Figure 112005065460785-PAT00010
Figure 112005065460785-PAT00010
 상기 수학식 8에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160 비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임. In Equation 8, MSID represents an identifier of the mobile terminal, BSID represents an identifier of the base station, 'AK' represents that a key generated by the Dot16KDF function is AK, and 160 is generated by the Dot16KDF function. It indicates that the length of the key AK is 160 bits, and the Dot16KDF function generates a 160-bit AK using a parameter obtained by concatenating the PMK with the MSID and the BSID. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: In the method for performing re-authentication in a broadband wireless access communication system using an Extensible Authentication Protocol), 상기 AAA-U 서버로부터 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 수신하는 과정과, Receiving, from the AAA-U server, a user master session key (MSK_U) generated by performing user reauthentication for the mobile terminal according to the EAP method; 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하여 상기 기지국이 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하도록 제어하는 과정을 포함함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.After generating the new MSK_U, MSK_U1, using the MSK_U and the device MSK (MSK_D) generated during the initial authentication of the mobile terminal with the MSK_U, the MSK_U1 is transmitted to the base station, and the base station uses the MSK_U1 pairwise master key. (PMK: controlling to generate a pairwise master key). 제13항에 있어서,The method of claim 13, 상기 MSK_U1을 생성하는 과정은 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 상기 MSK_U1로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The generating of the MSK_U1 comprises combining the MSK_U and the MSK_D to generate the MSK_U1, and performing re-authentication in the wideband wireless access communication system. 제13항에 있어서,The method of claim 13, 상기 MSK_U1을 생성하는 과정은 하기 수학식 9와 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The process of generating the MSK_U1 is represented by Equation (9).
Figure 112005065460785-PAT00011
Figure 112005065460785-PAT00011
 상기 수학식 9에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임. In Equation 9, the KDF function is a function of combining MSK_U and MSK_D to generate MSK_U1. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: In the method for performing re-authentication in a broadband wireless access communication system using an Extensible Authentication Protocol), 상기 AAA-D 서버로부터 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 생성한, 새로운 MSK_U인 MSK_U1을 수신하는 과정과,Receiving a new MSK_U, MSK_U1, generated from the AAA-D server by using a user master session key (MSK_U) and a device MSK (MSK_D) generated during device initial authentication for the mobile terminal. Process, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과,Generating a pairwise master key (PMK) using the MSK_U1; 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함하며,Generating an authorization key (AK) using the PMK; 상기 MSK_U는 상기 AAA-U 서버가 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증을 수행하여 생성됨을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The MSK_U is generated by the AAA-U server performing user reauthentication for the mobile terminal according to the EAP scheme. 제16항에 있어서,The method of claim 16, 상기 MSK_U1는 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 생성됨을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.And the MSK_U1 is generated by combining the MSK_U and the MSK_D. 제16항에 있어서,The method of claim 16, 상기 MSK_U1는 하기 수학식 10과 같이 생성됨을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The MSK_U1 is generated as in Equation 10 below.
Figure 112005065460785-PAT00012
Figure 112005065460785-PAT00012
 상기 수학식 10에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임. In Equation 10, the KDF function is a function of combining MSK_U and MSK_D to generate MSK_U1. 제16항에 있어서,The method of claim 16, 상기 AK를 생성하는 과정은 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The generating of the AK may include generating the AK using the PMK, a parameter obtained by concatenating the identifier of the mobile terminal and the identifier of the base station, to the AK. 제16항에 있어서,The method of claim 16, 상기 PMK를 사용하여 상기 AK를 생성하는 과정은 하기 수학식 11과 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.The process of generating the AK using the PMK is represented by the following equation (11).
Figure 112005065460785-PAT00013
Figure 112005065460785-PAT00013
 상기 수학식 11에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160 비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임. In Equation 11, MSID indicates an identifier of the mobile terminal, BSID indicates an identifier of the base station, 'AK' indicates that a key generated by the Dot16KDF function is AK, and 160 indicates that the key is generated by the Dot16KDF function. It indicates that the length of the key AK is 160 bits, and the Dot16KDF function generates a 160-bit AK using a parameter obtained by concatenating the PMK with the MSID and the BSID.
KR1020050108811A 2005-11-14 2005-11-14 System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system KR20070051233A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050108811A KR20070051233A (en) 2005-11-14 2005-11-14 System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system
US11/503,011 US20070112967A1 (en) 2005-11-14 2006-08-11 Re-authentication system and method in communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050108811A KR20070051233A (en) 2005-11-14 2005-11-14 System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system

Publications (1)

Publication Number Publication Date
KR20070051233A true KR20070051233A (en) 2007-05-17

Family

ID=38042256

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050108811A KR20070051233A (en) 2005-11-14 2005-11-14 System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system

Country Status (2)

Country Link
US (1) US20070112967A1 (en)
KR (1) KR20070051233A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8433286B2 (en) 2007-03-21 2013-04-30 Samsung Electronics Co., Ltd Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
KR101289133B1 (en) * 2007-05-14 2013-07-23 삼성전자주식회사 A method and apparatus of Key Generation for security and authentication in mobile telecommunication system
US8571211B2 (en) 2007-05-14 2013-10-29 Samsung Electronics Co., Ltd Method and apparatus for generating security key in a mobile communication system

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007134547A1 (en) * 2006-05-24 2007-11-29 Huawei Technologies Co., Ltd. A method and system for generating and distributing mobile ip security key after reauthentication
DE102006038592B4 (en) * 2006-08-17 2008-07-03 Siemens Ag Method and device for providing a wireless mesh network
KR101365857B1 (en) * 2007-06-14 2014-02-21 엘지전자 주식회사 Method for providing confidentiality protection of control signaling using certificate
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
US20090191849A1 (en) * 2008-01-28 2009-07-30 International Business Machines Corporation Enhanced messaging collaboration
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
US8566593B2 (en) * 2009-07-06 2013-10-22 Intel Corporation Method and apparatus of deriving security key(s)
US8881305B2 (en) * 2009-07-13 2014-11-04 Blackberry Limited Methods and apparatus for maintaining secure connections in a wireless communication network
EP2540057A2 (en) * 2010-02-26 2013-01-02 General instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8972582B2 (en) * 2002-10-03 2015-03-03 Nokia Corporation Method and apparatus enabling reauthentication in a cellular communication system
US7882346B2 (en) * 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US7206301B2 (en) * 2003-12-03 2007-04-17 Institute For Information Industry System and method for data communication handoff across heterogenous wireless networks
TWI234978B (en) * 2003-12-19 2005-06-21 Inst Information Industry System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
EP1712058A1 (en) * 2004-02-06 2006-10-18 Telecom Italia S.p.A. Method and system for the secure and transparent provision of mobile ip services in an aaa environment
US7546459B2 (en) * 2004-03-10 2009-06-09 Telefonaktiebolaget L M Ericsson (Publ) GSM-like and UMTS-like authentication in a CDMA2000 network environment
US7596225B2 (en) * 2005-06-30 2009-09-29 Alcatl-Lucent Usa Inc. Method for refreshing a pairwise master key
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8433286B2 (en) 2007-03-21 2013-04-30 Samsung Electronics Co., Ltd Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
KR101289133B1 (en) * 2007-05-14 2013-07-23 삼성전자주식회사 A method and apparatus of Key Generation for security and authentication in mobile telecommunication system
US8571211B2 (en) 2007-05-14 2013-10-29 Samsung Electronics Co., Ltd Method and apparatus for generating security key in a mobile communication system

Also Published As

Publication number Publication date
US20070112967A1 (en) 2007-05-17

Similar Documents

Publication Publication Date Title
KR100770928B1 (en) Authentication system and method thereofin a communication system
KR20070051233A (en) System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system
JP4921557B2 (en) Security authentication and key management method in infrastructure-based wireless multi-hop network
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
KR101901448B1 (en) Method and apparatus for associating statinon (sta) with access point (ap)
US7793103B2 (en) Ad-hoc network key management
US7890745B2 (en) Apparatus and method for protection of management frames
US7734280B2 (en) Method and apparatus for authentication of mobile devices
AU2004244634B2 (en) Facilitating 802.11 roaming by pre-establishing session keys
US8495360B2 (en) Method and arrangement for providing a wireless mesh network
TWI445371B (en) Methods and devices for establishing security associations and performing handoff authentication in wireless communications systems
US20050271209A1 (en) AKA sequence number for replay protection in EAP-AKA authentication
JP2010503326A5 (en) Security authentication and key management method in infrastructure-based wireless multi-hop network
JP2011139457A (en) System and method for secure transaction of data between wireless communication device and server
Zhu et al. Research on authentication mechanism of cognitive radio networks based on certification authority
KR20080090733A (en) Method and system for security association in broadband wireless communication system based on multi-hop
Falk et al. WiMAX Security Architecture
KR20080004920A (en) An improved ticket-based eap-aka protocol for interworking of umts, wlan, and wibro

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application